质疑苹果掩饰重要iOS漏洞 谷歌不再参与iPhone 新的SRD安全计划

根据SRD计划，苹果将向安全研究人员提供特制iPhone

北京时间7月24日消息，由于苹果严苛的漏洞披露规则，包括谷歌Project Zero在内的iPhone漏洞研究领域的部分大牌团队和个人，今天都表示将不参与苹果新公布的SRD安全计划。

这些团队和个人包括谷歌Project Zero、ZecOps、Axi0mX以及移动安全公司Guardian CEO威尔·斯特拉法赫（Will Strafach）。

苹果的SRD计划在手机厂商中可谓独一无二。根据这一计划，苹果将向安全研究人员提供特制版iPhone，方便研究人员发现其中的漏洞。苹果2019年12月份正式公布了SRD计划。

虽然安全社区去年对苹果公布SRD计划欢呼雀跃，认为这是苹果在正确道路上迈出的第一步，但他们对苹果今天公布的SRD计划规则却很是不满。

根据安全社区在社交媒体上的吐槽，让大多数安全研究人员不满的是下述条款：报告影响苹果产品的安全漏洞后，苹果将确定安全研究人员能够公开披露该漏洞的日期（通常情况下，苹果会在当天发布修正漏洞的补丁软件）。苹果将尽可能早地修正每个漏洞。在规定的日期前，安全研究人员不得与其他人或机构讨论漏洞。

这一条款使得苹果能够让安全研究人员“闭嘴”，也使得苹果能够完全控制漏洞的披露过程。

许多安全研究人员担心，苹果会滥用这一条款，推迟发布重要安全补丁的时间。也有人担心苹果会利用这一条款“掩盖”他们的研究，甚至阻止他们公开自己的工作。

谷歌Project Zero团队负责人本·霍克斯（Ben Hawkers）首先注意到了这一条款及其可能产生的影响，“鉴于在漏洞披露规则方面的限制，我们可能无法参与苹果SRD计划。”

ZecOps通过Twitter宣布不参与苹果SRD计划

网络安全厂商ZecOps也在Twitter上宣布将不参与SRD计划，继续以传统方法研究iPhone安全问题。

对于了解苹果安全计划历史的人来说，对苹果可能滥用SRD计划规则掩饰重要的iOS漏洞和安全研究是合乎情理的。之前，苹果多次被指责存在这样的行为。

在4月份发布的多条推文中，macOS和iOS开发人员杰夫·约翰逊（Jeff Johnson）指责苹果对其安全研究工作不够重视。

(来源：凤凰网科技    作者：霜叶)

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!